SafeGuard Enterprise Manuel d'utilisation - Version du produit : 8.1 - Documentation

La page est créée Manon Schneider

Société

Français

Like
Partager
Intégrer
Plein écran
Diapositives
Télécharger HTML
Télécharger PDF
Abus

←

CONTINUER À LIRE

→

Transcription du contenu de la page

Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous

SafeGuard Enterprise
Manuel d’utilisation
Version du produit : 8.1

Table des matières
     À propos de SafeGuard Enterprise......................................................................................................... 1
     Modules.................................................................................................................................................... 2
           Chiffrement intégral du disque avec BitLocker............................................................................. 2
           Chiffrement du disque intégral avec authentification au démarrage SafeGuard...........................2
           Chiffrement de fichiers SafeGuard (par application).....................................................................2
           Chiffrement de fichiers SafeGuard (par emplacement)................................................................ 3
           SafeGuard Cloud Storage............................................................................................................. 4
           SafeGuard Data Exchange........................................................................................................... 4
     Barre d’état système de Sophos SafeGuard...........................................................................................8
     Comment faire pour............................................................................................................................... 11
           Chiffrer un ordinateur avec BitLocker......................................................................................... 11
           Réinitialiser en cas d’oubli du code confidentiel/mot de passe BitLocker................................... 12
           Réinitialiser par Challenge/Réponse en cas d’oubli du code confidentiel/mot de passe
               BitLocker................................................................................................................................. 13
           Chiffrer des fichiers en fonction de la stratégie.......................................................................... 13
           Chiffrer/déchiffrer manuellement des fichiers..............................................................................14
           Afficher l’emplacement dans lequel les fichiers sont chiffrés......................................................15
           Utiliser un mot de passe pour protéger un fichier...................................................................... 16
           Envoyer des fichiers chiffrés par email.......................................................................................17
           Créer une clé locale....................................................................................................................18
           Échanger des données avec SafeGuard Data Exchange.......................................................... 19
           Échanger des données dans le Cloud sans SafeGuard Enterprise............................................23
           Utiliser des clés par défaut......................................................................................................... 24
           Récupérer des fichiers chiffrés................................................................................................... 25
           Vérifier la connexion au serveur SafeGuard Enterprise............................................................. 25
           Modifier des fichiers avec SafeGuard Portable.......................................................................... 25
     Support technique.................................................................................................................................. 28
     Mentions légales.................................................................................................................................... 29

(2018/08/03)

Manuel d’utilisation de SafeGuard Enterprise

     1 À propos de SafeGuard Enterprise
     Sophos SafeGuard assure la protection des terminaux Windows. Il est composé de plusieurs
     modules.
     Il se peut que toutes les fonctions ne soient pas décrites dans ce manuel. Ceci dépend de votre
     licence et des stratégies que vous avez reçues de la part de votre responsable de la sécurité.
     Sophos SafeGuard est configuré et administré de manière centralisée à partir de Sophos SafeGuard
     Management Center.
     Pour accéder aux informations générales sur votre installation de Sophos SafeGuard, cliquez sur
     l’icône Sophos SafeGuard dans la Barre d’état système de Sophos SafeGuard (page 8).
     Les options de chiffrement et de déchiffrement les plus importantes sont disponibles dans un menu
     par clic droit dans l’Explorateur Windows.
     Le présent document mentionne uniquement l’utilisation avec des terminaux Windows. Retrouvez
     plus de renseignements sur les terminaux Mac dans le Manuel d’utilisation de SafeGuard Enterprise
     pour Mac.
     Modules :
     Chiffrement intégral du disque
     Sophos SafeGuard offre deux options de protection de l’intégralité des volumes :
     •   Chiffrement intégral du disque avec BitLocker (page 2)
     •   Chiffrement du disque intégral avec authentification au démarrage SafeGuard (page 2)
     Synchronized Encryption
     •   Chiffrement de fichiers SafeGuard (par application) (page 2)
     Chiffrement de fichiers
     •   Chiffrement de fichiers SafeGuard (par emplacement) (page 3)
     •   SafeGuard Cloud Storage (page 4)
     •   SafeGuard Data Exchange (page 4)

Copyright © 1996-2018 Sophos Limited                                                                     1

Manuel d’utilisation de SafeGuard Enterprise

2 Modules

2.1 Chiffrement intégral du disque avec BitLocker
Le chiffrement intégral du disque avec BitLocker est basé sur la technologie de Chiffrement de
lecteur BitLocker disponible sur votre système d’exploitation. Le logiciel chiffre l’intégralité du disque
dur afin que vos données soient en sécurité même en cas de perte ou de vol de votre ordinateur.
Lorsque vous vous connectez à votre terminal, vous devez saisir vos codes d’accès pour
déverrouiller BitLocker. Retrouvez plus de renseignements à la section Chiffrer un ordinateur avec
BitLocker (page 11).
Sophos SafeGuard vous permet de gérer BitLocker sur les terminaux exécutant l’un des systèmes
d’exploitation suivants :
• Windows 7 Entreprise / Édition Intégrale
• Windows 8 et 8.1 Professionnel / Entreprise
• Windows 10 Professionnel / Entreprise
Sur les terminaux Windows 7 (BIOS), vous pouvez également utiliser SafeGuard Full Disk
Encryption avec l’authentification au démarrage SafeGuard. Retrouvez plus de renseignements à la
section Chiffrement du disque intégral avec authentification au démarrage SafeGuard (page 2).

2.2 Chiffrement du disque intégral avec
authentification au démarrage SafeGuard
Le chiffrement du disque intégral avec l’authentification au démarrage SafeGuard peut être utilisé à
la place de BitLocker sur les ordinateurs sous Windows 7 (BIOS). Retrouvez plus de renseignements
dans le Manuel d’utilisation de SafeGuard Enterprise.

2.3 Chiffrement de fichiers SafeGuard (par
application)
Le chiffrement de fichiers par application chiffre les fichiers créés ou modifiés par des applications
spécifiques (par exemple ; Microsoft Word). Une stratégie définit une liste d’applications sur
lesquelles le chiffrement de fichiers est exécuté automatiquement. Ce chiffrement étant permanent,
vos fichiers sont sécurisés même lorsque vous les déplacez, les téléchargez chez un fournisseur de
stockage Cloud ou les envoyez par email.
Si votre responsable de la sécurité a indiqué Microsoft Word en tant qu’application sur laquelle le
chiffrement de fichiers est activé, tous les fichiers que vous allez créer et/ou enregistrer avec MS
Word sont chiffrés avec la clé définie. Tout utilisateur, dont le jeu de clés comprend cette clé, peut
accéder à votre fichier.
• Les nouveaux fichiers créés avec des apps ou des extensions de fichier définies sont chiffrés
automatiquement.
• Si vous avez la clé d’un fichier chiffré, vous pouvez lire et modifier le contenu.

Manuel d’utilisation de SafeGuard Enterprise

• Si vous n’avez pas la clé d’un fichier chiffré, vous ne pouvez pas lire son contenu.
• Si vous accédez à un fichier chiffré sur un ordinateur sur lequel le Chiffrement de fichiers n’est
pas installé, vous ne pouvez pas lire ce fichier.
• Les fichiers sont copiés ou déplacés à partir d’un dossier non chiffrés dans un dossier sur lequel
une règle de chiffrement s’applique.
• Les fichiers copiés ou déplacé d’un dossier chiffré vers un dossier non chiffré sont déchiffrés.
• Les fichiers qui sont copiés ou déplacés d’un dossier chiffré vers un dossier sur lequel une règle
de chiffrement différente s’applique sont chiffrés conformément à la règle appliquée au dossier
cible.
• Les fichiers sont créés par des applications pour lesquelles le chiffrement de fichiers n’est pas
activé. Toutefois, une règle de chiffrement existe pour cette extension de fichier. Le fichier est
chiffré et ne peut pas être ouvert par l’application qui l’a créé. Par exemple, si vous créez un
fichier .doc avec OpenOffice.

Important
Si la copie ou le déplacement de fichiers est interrompue (en cas de redémarrage par exemple),
l’opération ne sera pas reprise automatiquement. Par conséquent, il se peut que des fichiers ne
soient pas chiffrés involontairement. Retrouvez plus de renseignements sur la manière de garantir
que les fichiers sont toujours chiffrés correctement à la section Chiffrer des fichiers en fonction de
la stratégie (page 13).

Votre responsable de la sécurité peut définir les emplacements dans lesquels les fichiers ne seront
pas chiffrés. Retrouvez plus de renseignements sur les emplacements chiffrés sur votre ordinateur à
la section Afficher l’emplacement dans lequel les fichiers sont chiffrés (page 15).
Retrouvez plus de renseignements sur l’état du chiffrement d’un ou de plusieurs fichiers en cliquant
avec le bouton droit de la souris sur le(s) fichier(s) et en sélectionnant Chiffrement de fichiers
SafeGuard > Afficher l’état du chiffrement.
Dans l’Explorateur Windows, les fichiers chiffrés sont identifiés par un verrou de couleur verte.
Si aucun symbole de verrou n’est affiché alors que le fichier est chiffré, veuillez consulter
l’article 108784 de la base de connaissances de Sophos.

2.4 Chiffrement de fichiers SafeGuard (par
emplacement)
Le chiffrement de fichiers par emplacement permet à votre responsable de la sécurité de définir les
emplacements dans lesquels les fichiers seront chiffrés comme par exemple les Documents.
Après l’assignation d’une stratégie Chiffrement de fichiers de type Basé sur emplacement sur
votre ordinateur, les fichiers présents dans les emplacements couverts par la stratégie sont chiffrés
de manière transparente sans intervention de l’utilisateur :
• Les nouveaux fichiers se trouvant dans un emplacement destiné au chiffrement sont chiffrés
automatiquement.
• Si vous avez la clé d’un fichier chiffré, vous pouvez lire et modifier le contenu.
• Si vous n’avez pas la clé d’un fichier chiffré, vous ne pouvez pas lire son contenu.
• Si vous accédez à un fichier chiffré sur un ordinateur sur lequel le Chiffrement de fichiers n’est pas
installé, vous ne pouvez pas lire ce fichier.

Manuel d’utilisation de SafeGuard Enterprise

Retrouvez plus de renseignements sur les emplacements chiffrés sur votre ordinateur à la section
Afficher l’emplacement dans lequel les fichiers sont chiffrés (page 15).
Retrouvez plus de renseignements sur l’état du chiffrement d’un ou de plusieurs fichiers en cliquant
avec le bouton droit de la souris sur le(s) fichier(s) et en sélectionnant Chiffrement de fichiers
SafeGuard > Afficher l’état du chiffrement.
Dans l’Explorateur Windows, les fichiers chiffrés sont identifiés par un verrou de couleur verte.
Si aucun symbole de verrou n’est affiché alors que le fichier est chiffré, veuillez consulter
l’article 108784 de la base de connaissances de Sophos.

2.5 SafeGuard Cloud Storage
SafeGuard Cloud Storage offre le chiffrement par emplacement des fichiers stockés dans le Cloud.
Il ne change en rien la façon dont vous utilisez vos fichiers. En revanche, il s’assure que les copies
locales de vos données dans le Cloud sont chiffrées de manière transparente et restent chiffrées une
fois stockées dans le Cloud.
SafeGuard Cloud Storage détecte automatiquement votre fournisseur de stockage Cloud (s’il est
compatible) et applique la stratégie de chiffrement au dossier de synchronisation.
SafeGuard Cloud Storage n’exécute pas de chiffrement initial de vos données. Les fichiers stockés
avant que SafeGuard Cloud Storage ne soit installé ou activé par une stratégie restent déchiffrés.
Si vous voulez chiffrer ces fichiers, vous devez d’abord les supprimer du Cloud et les ajouter de
nouveau.

Remarque
N’ajoutez pas de fichiers dans votre dossier Dropbox en les déposant sur l’icône Dropbox
de votre Bureau Windows. Ces fichiers seront copiés dans votre dossier Dropbox en clair.
Pour vous assurer que ces fichiers seront chiffrés, copiez-les directement dans votre dossier
Dropbox.

Important
Lors de l’extraction d’un fichier archive ZIP à l’aide du programme d’archivage de Microsoft
Windows, le processus s’arrête dès qu’il rencontre un fichier chiffré pour lequel aucune clé n’est
disponible. L’utilisateur reçoit un message l’informant que l’accès a été interdit mais il n’est pas
informé que des fichiers n’ont pas été traités et sont donc manquants. D’autres programmes
d’archivage, par exemple 7-Zip, fonctionne correctement avec les archives ZIP contenant des
fichiers chiffrés.

2.6 SafeGuard Data Exchange
SafeGuard Data Exchange offre le chiffrement par emplacement des fichiers stockés sur des
supports amovibles afin de pouvoir les échanger avec d’autres utilisateurs. Seuls les utilisateurs
disposant des clés appropriées peuvent lire le contenu des données chiffrées. Tous les processus
de chiffrement et de déchiffrement sont exécutés de manière transparente et impliquent une
intervention minimale de l’utilisateur.
Au quotidien, vous ne remarquez pas que les données sont chiffrées. Cependant, lorsque vous
déconnectez le support amovible, les données restent chiffrées et protégées contre tout accès non
autorisé. Les utilisateurs non autorisés peuvent accéder physiquement aux fichiers mais ne peuvent
pas les lire sans SafeGuard Data Exchange et la clé correspondante.

Manuel d’utilisation de SafeGuard Enterprise

Votre responsable de la sécurité définit la gestion des données de supports amovibles. Il peut, par
exemple, définir un chiffrement obligatoire des fichiers stockés sur un quelconque support amovible.
Dans ce cas, tous les fichiers non chiffrés existant sur le périphérique sont initialement chiffrés. De
surcroît, tous les nouveaux fichiers enregistrés sur support amovible sont chiffrés. Si des fichiers
existants ne doivent pas être chiffrés, le responsable de la sécurité peut choisir d’autoriser l’accès à
des fichiers non chiffrés existants. Dans ce cas, SafeGuard Data Exchange ne chiffre pas les fichiers
non chiffrés existants. Les nouveaux fichiers sont toutefois chiffrés. Vous pouvez ainsi lire et modifier
les fichiers non chiffrés existants mais ils sont chiffrés dès que vous les renommez. Le responsable
de la sécurité peut également indiquer que vous n’êtes pas autorisé à accéder aux fichiers non
chiffrés et laissez ces fichiers non chiffrés.
Deux méthodes permettent d’échanger des fichiers chiffrés et stockés sur un support amovible :
• SafeGuard Enterprise est installé sur l’ordinateur du destinataire : vous pouvez utiliser des clés
disponibles pour vous deux ou créer une clé. Si vous créez une nouvelle clé, veuillez fournir la
phrase secrète de la clé au destinataire des données.
• SafeGuard Enterprise n’est pas installé sur l’ordinateur du destinataire : SafeGuard Enterprise
met à votre disposition SafeGuard Portable. Cet utilitaire peut être copié automatiquement sur le
support amovible en plus des fichiers chiffrés. Grâce à SafeGuard Portable et à la phrase secrète
correspondante, le destinataire peut déchiffrer les fichiers chiffrés et les chiffrer de nouveau sans
que SafeGuard Data Exchange ne soit installé sur son ordinateur.

2.6.1 Icônes superposées
Les icônes superposées sont des icônes de petite taille affichées sur les éléments dans l’Explorateur
Windows. Elles sont destinées à vous donner des informations rapides sur l’état de chiffrement des
fichiers. L’apparence des icônes varie en fonction du module que vous avez installé.
Les icônes superposées de Data Exchange apparaissent uniquement sur les fichiers et volumes.
• Une clé rouge indique que vous n’avez pas de la clé de déchiffrement d’un fichier. Cette icône
apparaît uniquement sur les fichiers.
• Une clé verte indique que la clé du fichier chiffré est sur votre jeu de clés. Cette icône apparaît
uniquement sur les fichiers.
• Une clé grise indique qu’un fichier n’est pas chiffré mais qu’une règle de chiffrement pour ledit
fichier est disponible. Cette icône apparaît uniquement sur les fichiers.
• Une clé jaune indique qu’une stratégie de chiffrement est définie pour un lecteur. Cette icône
apparaît uniquement sur les lecteurs.
Les icônes superposées apparaissent uniquement sur les volumes non démarrables, les supports
amovibles et les CD/DVD. Dans le cas des lecteurs de démarrage, les icônes superposées
apparaissent dans le dossier intermédiaire de gravure (le dossier dans lequel Windows conserve
les fichiers qui vont être gravés sur un CD/DVD). Si vous choisissez un dossier non chiffré, la clé
grise ne s’affichera pas sur les fichiers non chiffrés dans ce dossier et dans ses sous-dossiers.
Généralement, s’il n’y a aucune règle de chiffrement appliquée à un fichier, la clé grise n’apparaît
pas.

Manuel d’utilisation de SafeGuard Enterprise

Remarque
Si aucune icône superposée n’est affichée, veuillez consulter l’article 108784 de la base de
connaissances Sophos.

2.6.2 Chiffrement transparent
Si les paramètres définis pour votre ordinateur indiquent que les fichiers doivent être chiffrés sur les
supports amovibles, tous les processus de chiffrement et de déchiffrement sont exécutés de manière
transparente.
Les fichiers sont chiffrés lorsqu’ils sont écrits sur les supports amovibles et déchiffrés lorsqu'ils sont
copiés ou déplacés des supports amovibles vers un autre emplacement.
Les données sont déchiffrées uniquement si elles sont copiées ou déplacées vers un emplacement
sur lequel aucune autre stratégie de chiffrement ne s’applique. Les données sont alors disponibles
en texte brut, à cet emplacement. Si une autre stratégie de chiffrement s’applique au nouvel
emplacement, les données seront chiffrées.

2.6.3 Phrase secrète des supports amovibles
SafeGuard Data Exchange permet de définir une phrase secrète unique des supports qui
vous donne accès à tous les périphériques amovibles connectés à l’ordinateur. Ceci se fait
indépendamment de la clé utilisée pour chiffrer les fichiers individuels.
Le cas échéant, l’accès aux fichiers chiffrés peut être accordé par la seule saisie d’une phrase
secrète des supports. La phrase secrète des supports est liée aux ordinateurs auxquels vous êtes
autorisé à vous connecter. Vous utilisez donc la même phrase secrète des supports sur chaque
ordinateur.
Retrouvez plus de renseignements sur la création d’une phrase secrète des supports à la section
Utilisation d’une phrase secrète des supports (page 21).
La phrase secrète des supports peut être changée et elle est synchronisée automatiquement sur
chaque ordinateur avec lequel vous travaillez, dès que vous connectez un support amovible à cet
ordinateur.
Une phrase secrète des supports est utile dans les situations suivantes :
• Vous souhaitez utiliser des données chiffrées sur des supports amovibles qui se trouvent
également sur des ordinateurs sur lesquels SafeGuard Enterprise n’est pas installé (SafeGuard
Data Exchange en combinaison avec SafeGuard Portable).
• Vous souhaitez échanger des données avec des utilisateurs externes : en leur communiquant la
phrase secrète des supports, vous pouvez leur permettre d’accéder à tous les fichiers du support
amovible, avec une phrase secrète unique, indépendamment de la clé utilisée pour chiffrer les
fichiers individuels.
Vous pouvez également limiter l’accès à tous les fichiers en ne communiquant à l’utilisateur externe
que la phrase secrète d’une clé spécifique (une « clé locale », qui peut être créée par un utilisateur
de SafeGuard Data Exchange). Dans ce cas, l’utilisateur externe a accès uniquement aux fichiers
chiffrés au moyen de cette clé. Les autres fichiers ne pourront pas être lus.
Une phrase secrète des supports n’est pas nécessaire si vous utilisez des clés de groupe
SafeGuard Enterprise pour échanger des données sur un support amovible, au sein d’un groupe de
travail dans lequel les membres partagent cette clé. Dans ce cas, si votre responsable de la sécurité
l’a indiqué, l’accès aux fichiers chiffrés du support amovible est entièrement transparent. Il n’est

Manuel d’utilisation de SafeGuard Enterprise

     pas nécessaire de saisir une phrase secrète ou un mot de passe. En effet, les clés de groupe et les
     phrase secrète de support pour les supports amovibles peuvent être utilisées simultanément. Dans
     la mesure où le système détecte automatiquement une clé de groupe disponible, l’accès pour les
     utilisateurs partageant cette clé est entièrement transparent. Si aucune clé de groupe n’est détectée,
     SafeGuard Data Exchange affiche une boîte de dialogue qui invite l’utilisateur à saisir une phrase
     secrète des supports ou la phrase secrète d’une clé locale.

     Supports pris en charge
     SafeGuard Data Exchange est compatible avec les supports multimédia amovibles suivants :
     •   Clés de démarrage
     •   Disques durs externes connectés par USB ou FireWire
     •   Lecteurs de CD-RW (UDF)
     •   Lecteurs de DVD-RW (UDF)
     •   Cartes mémoire dans des lecteurs de cartes USB
     Disques Blu-ray et DVD DL incompatibles.

Copyright © 1996-2018 Sophos Limited                                                                          7

Manuel d’utilisation de SafeGuard Enterprise

3 Barre d’état système de Sophos
SafeGuard
Vous avez accès à toutes les fonctions du terminal Sophos SafeGuard sur votre ordinateur en
cliquant sur l’icône de la barre d’état du système Sophos SafeGuard à partir de votre barre d’état
Windows. La disponibilité des fonctions spécifiques dépend des modules que vous avez installés.
Cliquez avec le bouton droit de la souris sur l’icône de la zone de notification de Sophos SafeGuard
pour voir :
• Affichage :
— Jeu de clés : affiche toutes les clés disponibles.

Remarque
Si votre terminal a été migré d’un environnement non administré à un environnement
administré, une deuxième connexion à SafeGuard Enterprise sera peut être nécessaire
pour afficher les clés locales définies par l’utilisateur sur voter jeu de clés.

— Certificat d’utilisateur : affiche les informations relatives à votre certificat.
— Certificat d’entreprise : affiche les informations relatives à votre certificat d’entreprise.
• Réinitialiser les codes d’accès BitLocker : ouvre une boîte de dialogue vous permettant de
changer votre code confidentiel BitLocker.
• Créer une nouvelle clé : ouvre une boîte de dialogue permettant de créer une clé utilisée pour
SafeGuard Data Exchange (page 4) ou pour SafeGuard Cloud Storage (page 4). Uniquement
disponible si l’un des deux modules est installé sur votre ordinateur.
• Sauvegarde de la clé (terminaux Windows 7 non administrés) : vous permet de créer une
sauvegarde du fichier de clé. Ce dernier est indispensable pour récupérer la connexion via
Challenge/Réponse.
• Local Self Help (terminaux Windows 7) : démarre l’assistant de Local Self Help. Local Self Help
est une méthode de récupération de connexion qui ne requiert aucune assistance du support.
Retrouvez plus de renseignements dans le Manuel d’utilisation de SafeGuard Enterprise.
• Changer la phrase secrète des supports : ouvre une boîte de dialogue pour changer la phrase
secrète des supports comme indiqué à la section SafeGuard Data Exchange (page 4).
• Synchroniser : lance la synchronisation avec le serveur SafeGuard Enterprise. Des infobulles
affichent la progression de la synchronisation. Vous pouvez également cliquez deux fois sur l’icône
de la barre d’état système pour lancer la synchronisation.
• État : ouvre une boîte de dialogue proposant des informations sur l’état actuel de l’ordinateur
protégé par SafeGuard Enterprise :

Champ Informations

Dernière stratégie reçue Date et heure auxquelles l’ordinateur a reçu une nouvelle stratégie.

Dernière clé reçue Date et heure auxquelles l’ordinateur a reçu une nouvelle clé.

Dernier certificat reçu Date et heure auxquelles l’ordinateur a reçu un nouveau certificat.

Dernier contact du serveur Date et heure du dernier contact avec le serveur.

Manuel d’utilisation de SafeGuard Enterprise

         Champ                         Informations

         État de l’utilisateur SGN     État de l’utilisateur connecté à l’ordinateur (connexion Windows) :
                                       — En attente
                                           La réplication de l’utilisateur dans l’authentification
                                           au démarrage SafeGuard est en attente. Ceci signifie
                                           que la synchronisation initiale de l’utilisateur n’est
                                           pas encore terminée. Ces informations sont tout
                                           particulièrement importantes après la première
                                           connexion à SafeGuard Enterprise. En effet, vous
                                           pouvez uniquement vous connecter à partir de
                                           l’authentification au démarrage SafeGuard après la
                                           synchronisation utilisateur initiale.
                                       — Utilisateur SGN
                                           L’utilisateur connecté à Windows est un utilisateur
                                           SafeGuard Enterprise. Un utilisateur SGN est autorisé
                                           à se connecter à l’authentification au démarrage
                                           SafeGuard, est ajouté à l’assignation utilisateur/
                                           machine et se voit fournir un certificat d’utilisateur et
                                           un jeu de clés lui permettant d’accéder aux données
                                           chiffrées.
                                       — Utilisateur SGN (propriétaire)
                                           Si les paramètres par défaut n’ont pas été modifiés, un
                                           propriétaire a le droit d’autoriser d’autres utilisateurs à
                                           se connecter au terminal et à devenir des utilisateurs
                                           SGN.
                                       —   Invité SGN
                                           Les utilisateurs invités SGN ne sont pas ajoutés à l’assignation
                                           utilisateur/machine, ne disposent pas des droits de connexion
                                           à l’authentification au démarrage SafeGuard, n’ont pas de
                                           certificat ou de jeu de clés et ne sont pas enregistrés dans la
                                           base de données.
                                       —   Invité SGN (compte de service)
                                           L’utilisateur connecté à Windows est un utilisateur
                                           SafeGuard Enterprise invité qui s’est connecté via
                                           un compte de service pour effectuer des tâches
                                           administratives.
                                       — Utilisateur Windows de SGN
                                           Un utilisateur Windows de SafeGuard Enterprise
                                           n’est pas ajouté à l’authentification au démarrage
                                           SafeGuard. En revanche, il dispose d’un jeu de clés
                                           pour accéder aux fichiers chiffrés comme le ferait un
                                           utilisateur SafeGuard Enterprise. Les utilisateurs sont
                                           ajoutés à l’assignation utilisateur/machine. Ils sont
                                           donc autorisés à se connecter à Windows depuis ce
                                           terminal.
                                       — Utilisateur non confirmé
                                           Les utilisateurs non confirmés n’ont pas accès au jeu
                                           de clés pour l’une des raisons suivantes :
                                           –    L’utilisateur a fourni des codes d’accès incorrects.
                                           –    L’utilisateur est un utilisateur local.

Copyright © 1996-2018 Sophos Limited       –    Le serveur d’authentification AD est injoignable.            9
                                           –    L’authentification a échoué.

Manuel d’utilisation de SafeGuard Enterprise

Champ Informations

État de la machine SGN Indique le niveau de sécurité du terminal.
— non applicable
La fonction associée est inactive.
— machine sécurisée
Le diagnostic de la machine indique qu’elle est
sécurisée.
— machine compromise
Le diagnostic de la machine indique qu’elle n’est pas
sécurisée. Les clés ont donc été révoquées et vous ne
pouvez pas accéder aux fichiers chiffrés.

État du cache de stratégies Indique si des packages doivent être envoyés au serveur
SafeGuard Enterprise.
Paquets de données préparés
pour la transmission

État de Local Self Help (LSH) Indique si Local Self Help a été activé dans une stratégie et s’il est
actif sur l’ordinateur de l’utilisateur.
Activé
Actif

Prêt pour la modification du Ce texte est affiché si le responsable de la sécurité a assigné un
certificat nouveau certificat pour la connexion par token sur votre ordinateur.
Vous pouvez maintenant modifier le certificat pour la connexion
par token. Retrouvez plus de renseignements dans le Manuel
d’utilisation de SafeGuard Enterprise.

• Aide : ouvre l’aide en ligne de SafeGuard Enterprise.
• À propos de SafeGuard Enterprise : affiche les informations sur la version de SafeGuard
Enterprise que vous utilisez.

Manuel d’utilisation de SafeGuard Enterprise

4 Comment faire pour...

4.1 Chiffrer un ordinateur avec BitLocker
Selon le mode de connexion indiqué par le responsable de la sécurité pour votre terminal, la prise
en charge SafeGuard Enterprise BitLocker peut se comporter de façon légèrement différente.
Dans tous les cas, une boîte de dialogue s’ouvre et vous offre la possibilité de continuer avec le
chiffrement ou de le remettre à plus tard.
Si vous confirmez que vous souhaitez enregistrer, redémarrer et/ou chiffrer, l’opération de
chiffrement ne commence pas immédiatement. Un test matériel est effectué pour garantir que votre
terminal est conforme aux conditions requises pour le chiffrement SafeGuard Enterprise BitLocker.
Le système redémarre et vérifie si toutes les conditions matérielles requises sont remplies. Si par
exemple, le TPM ou le lecteur flash USB n’est pas disponible ou accessible, vous allez être invité
à stocker la clé externe sur un autre appareil. Le système vérifie également si vous avez fourni des
codes d’accès corrects. Si vous ne pouvez pas fournir vos codes d’accès, l’ordinateur redémarre
tout de même mais le chiffrement ne se lance pas. Vous allez être invité à saisir de nouveau votre
code confidentiel ou votre mot de passe. Suite au succès du test matériel, le chiffrement BitLocker
commence.
Si vous sélectionnez Retarder, le chiffrement ne va pas commencer et vous ne serez plus invité à
chiffrer ce volume jusqu’à ce que :
• Une nouvelle stratégie soit appliquée.
• L’état du chiffrement BitLocker d’un volume change.
• Vous vous reconnectiez au système.

4.1.1 Enregistrement d’une clé de démarrage
Si votre responsable de la sécurité a indiqué un mode de connexion TPM + Clé de démarrage
ou Clé de démarrage, vous allez devoir indiquer l’emplacement dans lequel la clé de démarrage
est enregistrée. Nous vous conseillons d’utiliser un lecteur flash USB non chiffré pour stocker la
clé. Les lecteurs de destination valides pour la clé de démarrage sont répertoriés dans la boîte de
dialogue. Plus tard, vous devrez insérer le périphérique de stockage avec la clé à chaque démarrage
de l’ordinateur.
Sélectionnez le lecteur de destination et cliquez sur Enregistrer et redémarrer.

4.1.2 Création du mot de passe
Si votre responsable de la sécurité a indiqué un mode de connexion Mot de passe, vous êtes invité
à saisir et confirmer votre nouveau mot de passe. Vous aurez besoin de ce mot de passe à chaque
démarrage de l’ordinateur. La longueur et la complexité requises pour le mot de passe dépendent
des objets de stratégie de groupe spécifiés par votre responsable de la sécurité. Vous êtes informé
des conditions requises pour créer un mot de passe dans cette boîte de dialogue.

Manuel d’utilisation de SafeGuard Enterprise

Remarque
Faites attention lors de la création d’un code confidentiel ou d’un mot de passe. L’environnement
préalable au démarrage prend uniquement en charge la disposition de clavier Anglais (États-Unis)
ou EN-US. Si vous créez un code confidentiel ou un mot de passe avec des caractères spéciaux,
vous devrez utiliser des touches différentes lors de sa saisie à votre prochaine connexion.

4.1.3 Création du code confidentiel
Si votre responsable de la sécurité a indiqué un mode de connexion TPM + PIN, vous êtes invité
à saisir et confirmer votre nouveau code confidentiel. Vous aurez besoin de ce code confidentiel à
chaque démarrage de l’ordinateur. La longueur et la complexité requises dépendent des objets de
stratégie de groupe spécifiés par votre responsable de la sécurité. Vous êtes informé des conditions
requises pour créer un code confidentiel dans cette boîte de dialogue.

4.1.4 Boîte de dialogue pour TPM uniquement
Si votre responsable de la sécurité a indiqué un mode de connexion TPM, il vous suffit de confirmer
le redémarrage et le chiffrement de votre ordinateur.

4.2 Réinitialiser en cas d’oubli du code confidentiel/
mot de passe BitLocker
Si vous ne pouvez pas vous connecter à votre ordinateur en raison de l’oubli de votre code
confidentiel, de votre mot de passe ou de votre clé USB, vous allez avoir besoin d’une clé de
récupération. Pour demander une clé de récupération :
1. Redémarrez votre ordinateur et appuyez sur la touche Échap sur l’écran de connexion BitLocker.
2. Sur l’écran Récupération BitLocker, recherchez l’ID de la clé de récupération.
L’ID de la clé de récupération s’affiche uniquement pendant un court moment. Pour l’afficher de
nouveau, veuillez redémarrer l’ordinateur.
3. Contactez votre administrateur et communiquez-lui l’ID de la clé de récupération.
Votre administrateur doit trouver la clé de récupération de votre ordinateur dans Sophos
SafeGuard Management Center et vous la communiquer.
4. Sur l’écran Récupération BitLocker, saisissez la clé de récupération.
Vous pouvez à présent démarrer votre ordinateur.
Dés que vous êtes de nouveau connecté au système, indiquez les nouveaux codes d’accès BitLocker.
Selon votre système d’exploitation, une boîte de dialogue de réinitialisation des codes d’accès
apparaît. Si cette boîte de dialogue n’apparaît pas automatiquement, cliquez avec le bouton droit de
la souris sur l’icône Sophos SafeGuard de la barre des tâches et sélectionnez Réinitialiser les codes
d’accès BitLocker puis suivez les instructions à l’écran.

Manuel d’utilisation de SafeGuard Enterprise

4.3 Réinitialiser par Challenge/Réponse en cas
d’oubli du code confidentiel/mot de passe BitLocker

Procédure Challenge/Réponse
Si vous avez besoin d’une clé de récupération BitLocker, procédez de la manière suivante :
1. Redémarrez l’ordinateur. Suite au redémarrage, un message de couleur jaune apparaît. Appuyez
sur n’importe quelle touche dans un délai de trois secondes.
2. L’écran Challenge/Réponse apparaît.
3. À l’étape 2, vous recevez les informations utiles pour appeler le service d’assistance.
4. Fournissez les informations suivantes au service d’assistance :
• Ordinateur. Par exemple, Sophos\
• Code du challenge. Par exemple, ABC12-3DEF4-56GHO-892UT-Z654K-LM321. Déplacez
le curseur de votre souris sur les caractères pour afficher l’aide à l’épellation ou appuyez
plusieurs fois sur la touche F1 pour afficher cette boîte de dialogue d’aide. Le code expire au
bout de 30 minutes et entraîne l’arrêt automatique de l’ordinateur.
5. Saisissez le Code de réponse émis par le service d’assistance (six cases avec deux champs de
texte de cinq caractères chacun à remplir par champ).
• Dès que le champ de texte est entièrement rempli, vous passez automatiquement au champ de
texte suivant.
• Si vous saisissez accidentellement un caractère erroné dans un case, celle-ci s’affiche en
rouge.
6. Après avoir saisi le code de réponse, cliquez sur Continuer ou appuyez sur Entrée pour terminer
l’action de Challenge/Réponse.

Réinitialisation des codes d’accès BitLocker
Dés que vous êtes de nouveau connecté au système, indiquez les nouveaux codes d’accès BitLocker.
Selon votre système d’exploitation, une boîte de dialogue de réinitialisation des codes d’accès
apparaît. Si cette boîte de dialogue n’apparaît pas automatiquement, cliquez avec le bouton droit de
la souris sur l’icône Sophos SafeGuard de la barre des tâches et sélectionnez Réinitialiser les codes
d’accès BitLocker puis suivez les instructions à l’écran.

4.4 Chiffrer des fichiers en fonction de la stratégie
Après assignation d’une stratégie de Chiffrement de fichiers sur votre ordinateur, les fichiers
déjà existants dans les emplacements couverts par la stratégie de chiffrement ne sont pas chiffrés
automatiquement. Un chiffrement initial doit être effectué.
Nous vous conseillons d’effectuer ce chiffrement initial dès que votre terminal reçoit une stratégie
de Chiffrement de fichiers même si le responsable de la sécurité peut automatiquement lancer cette
tâche de chiffrement.

Manuel d’utilisation de SafeGuard Enterprise

Pour commencer l’opération de chiffrement manuel : cliquez avec le bouton droit de la souris sur
le nœud Poste de travail dans l’Explorateur Windows et sélectionnez Chiffrement de fichiers
SafeGuard > Chiffrer en fonction de la stratégie. L’Assistant de Chiffrement de fichiers SafeGuard
(page 14) chiffre tous les fichiers dans les dossiers et sous-dossiers soumis aux règles de
chiffrement définies.

4.4.1 Assistant de Chiffrement de fichiers SafeGuard
Pour ouvrir l’assistant de Chiffrement de fichiers SafeGuard, cliquez avec le bouton droit de la
souris sur le nœud Poste de travail ou sur un dossier dans l’Explorateur Windows et sélectionnez
Chiffrement de fichiers SafeGuard > Chiffrer en fonction de la stratégie.
Il vérifie tous les dossiers qui sont définis dans une règle de chiffrement pour l’utilisateur :
• Les fichiers bruts qui doivent être chiffrés le seront avec la clé définie dans la règle.
• Les fichiers chiffrés qui doivent être chiffrés avec une clé différente seront de nouveau chiffrés
avec la clé définie dans la règle.
• Une erreur apparaît lorsque l’utilisateur ne possède pas la clé en cours d’utilisation.
• Les fichiers chiffrés qui doivent être en clair conformément à la stratégie de chiffrement
demeurent chiffrés.
Une image indique l’état général de l’opération :
• Vert : l’opération s’est terminée avec succès.
• Rouge : l’opération s’est terminée avec des erreurs.
• Jaune : l’opération est en cours.
Quatre pages à onglets fournissent des informations sur les fichiers traités :
• La page à onglets Récapitulatif affiche les compteurs relatifs aux fichiers trouvés ou traités. Le
bouton Exporter... peut être utilisé pour créer des rapports XML contenant les fichiers traités et
les résultats.
• La page à onglets Erreurs affiche les fichiers qui n’ont pas pu être gérés comme prévu.
• La page à onglets Modifié affiche les fichiers qui ont été modifiés avec succès.
• La page à onglets Tous affiche tous les fichiers traités et leurs résultats.
Si vous cliquez sur le bouton Arrêter en haut à droit, l’opération est annulée. Le bouton Arrêter se
transforme en bouton Redémarrer pour redémarrer l’opération.
Lorsque l’opération se termine avec des erreurs, le bouton Arrêter se transforme en bouton
Réessayer. Si vous cliquez sur le bouton Réessayer, l’opération est relancée mais seulement pour
les fichiers qui ont échoué.

4.5 Chiffrer/déchiffrer manuellement des fichiers
SafeGuard File Encryption vous permet de chiffrer ou de déchiffrer chaque fichier manuellement.
Cliquez avec le bouton droit de la souris sur un fichier et sélectionnez Chiffrement de fichiers
SafeGuard. Les fonctions suivantes sont disponibles :
• Afficher l’état du chiffrement : indique si le fichier est chiffré ou non ainsi que la clé utilisée.
• Chiffrer en fonction de la stratégie : Retrouvez plus de renseignements à la section Chiffrer
des fichiers en fonction de la stratégie (page 13).

Manuel d’utilisation de SafeGuard Enterprise

• Déchiffrer : (uniquement pour le chiffrement de fichiers par emplacement) : Vous permet de
déchiffrer un fichier qui ne fait pas l’objet d’une règle de chiffrement de fichiers.
• Déchiffrer le fichier sélectionné (uniquement pour le chiffrement de fichiers par application) :
vous permet de déchiffrer votre fichier et de l’archiver en texte clair. Nous vous conseillons de
déchiffrer votre fichier uniquement s’il ne contient aucune donnée sensible.
• Chiffrer le fichier sélectionné (uniquement pour le chiffrement de fichiers par application) :
vous permet de chiffrer manuellement les fichiers avec la clé définie dans votre stratégie.
• Créer un fichier protégé par mot de passe : vous permet de définir un mot de passe pour
chiffrer manuellement chaque fichier. Ceci s’avère utile si vous voulez partager votre fichier en
toute sécurité avec une personne n’appartenant pas au réseau de votre entreprise. Retrouvez
plus de renseignements à la section Envoyer des fichiers chiffrés par email (page 17).
Si vous cliquez avec le bouton droit de la souris sur des dossiers ou lecteurs, les fonctions suivantes
sont disponibles :
• Afficher l’état du chiffrement : affiche une liste de fichiers inclus avec des icônes indiquant
l’état du chiffrement et la clé utilisée.
• Chiffrer en fonction de la stratégie : Retrouvez plus de renseignements à la section Chiffrer
des fichiers en fonction de la stratégie (page 13).
Les options suivantes sont uniquement disponibles pour les modules « Cloud Storage » et « Data
Exchange » :
• Clé par défaut : indique la clé actuellement utilisée pour les nouveaux fichiers ajoutés au volume
(enregistrement, copie ou déplacement). Vous pouvez définir la clé standard pour chaque volume
ou support amovible séparément.
• Définir la clé par défaut : ouvre une boîte de dialogue permettant de sélectionner une autre clé
par défaut.
• Créer une nouvelle clé : ouvre une boîte de dialogue permettant de créer des clés locales définies
par l’utilisateur.
• Réactiver le chiffrement : votre responsable de la sécurité peut vous permettre de décider si les
fichiers présents sur les supports amovibles connectés à votre ordinateur doivent être chiffrés.
Lorsque vous connectez un support amovible à votre ordinateur, un message vous demande si
vous désirez chiffrer les fichiers présents sur le support connecté. En outre, votre responsable de
la sécurité peut vous permettre de sélectionner si votre choix doit être conservé pour les supports
équivalents. Si vous sélectionnez Mémoriser le paramètre et ne plus afficher cette boîte de
dialogue, la boîte de message ne réapparaîtra pas pour le support correspondant. Dans ce cas,
la nouvelle commande Réactiver le chiffrement devient disponible dans le menu contextuel du
périphérique correspondant dans l’Explorateur Windows. Sélectionnez cette commande pour
annuler votre décision concernant le chiffrement du périphérique correspondant. Si ce n’est
pas possible, par exemple parce que vous n’avez pas les droits appropriés sur le périphérique,
un message d’erreur apparaît. Après avoir annulé votre décision, vous êtes invité à décider de
nouveau si le périphérique doit être chiffré.

4.6 Afficher l’emplacement dans lequel les fichiers
sont chiffrés
Si vous voulez vérifier l’emplacement dans lequel les fichiers sont chiffrés sur votre ordinateur et
quelles clés sont utilisées pour protéger vos fichiers, vous pouvez utiliser l’outil SafeGuard Enterprise
FETool.

Manuel d’utilisation de SafeGuard Enterprise

Pour ouvrir l’outil SafeGuard Enterprise FETool, ouvrez une invite de commande, allez dans C:
\Program Files (x86)\Sophos\SafeGuard Enterprise\FileEncryption et saisissez
fetool rli -a.
Cette commande répertorie toutes les règles de chiffrement s’appliquant à votre ordinateur. La liste
contient le mode de chiffrement, le chemin complet vers les dossiers et les clés utilisées.

4.7 Utiliser un mot de passe pour protéger un
fichier
Lors de l’envoi d’emails à des destinataires n’appartenant pas au réseau de votre entreprise, nous
vous conseillons de chiffrer votre fichier avec un mot de passe. Les destinataires ont accès aux
fichiers chiffrés sans avoir besoin d’installer SafeGuard Enterprise.
Procédez comme suit :
1. Cliquez avec le bouton droit de la souris sur le fichier que vous voulez envoyer et sélectionnez
Créer un fichier protégé par mot de passe.
2. Suivez les instructions à l’écran pour créer un mot de passe. Nous vous conseillons d’utiliser un
mot de passe fort et ne pas l’envoyer dans le même email que les fichiers.
Votre fichier est chiffré et enregistré en tant que fichier HTML. Vous pouvez à présent joindre en
toute sécurité le fichier HTML à vos emails.

Remarque
• Le chiffrement nécessite de l’espace disque.
• Le fichier HTML chiffré est de plus grande taille que le fichier original.
• La taille de fichier maximale prise en charge est de 50 Mo.
• Pour envoyer plusieurs fichiers en même temps, vous pouvez les compresser dans un
fichier .zip et chiffrer ce fichier .zip.

3. Communiquez le mot de passe aux destinataires par téléphone ou par tout autre moyen de
communication.
Les destinataires peuvent utiliser l’un des navigateurs suivants pour ouvrir la pièce jointe protégée
par mot de passe :
• Mozilla Firefox
• Google Chrome
• Microsoft Internet Explorer 11
• Microsoft Edge
4. Demandez aux destinataires de cliquer deux fois sur le fichier et de suivre les instructions affichées
à l’écran pour procéder de l’une des manières suivantes :
• Saisissez le mot de passe et cliquez sur Entrée pour accéder au fichier.
• Cliquez sur Protéger un nouveau fichier par mot de passe pour protéger un autre fichier par
mot de passe.
Les destinataires ont accès au fichier que vous avez protégé par mot de passe. Ils peuvent protéger le
fichier par mot de passe lorsqu’ils vous le renvoie. Ils ont la possibilité d’utiliser le même mot de passe
ou d’en utiliser un nouveau. Ils peuvent même protéger un nouveau fichier par mot de passe.

Vous pouvez aussi lire